(선택 사항) 서버 및 클라이언트 인증용으로 디지털 인증서 사용

WAN 부트 설치 방법은 서버 인증을 사용하거나 클라이언트 인증과 서버 인증을 모두 사용하여 HTTPS를 통해 설치를 수행하기 위해 PKCS#12 파일을 사용할 수 있습니다. PKCS#12 파일 사용에 대한 요구 사항과 지침은 디지털 인증서 요구 사항을 참조하십시오.

WAN 부트 설치에 PKCS#12 파일을 사용하려면 다음 작업을 수행합니다.

• PKCS#12 파일을 별도의 SSL 개인 키와 신뢰할 수 있는 인증서 파일로 분할합니다.

• /etc/netboot 계층에서 클라이언트의 truststore 파일에 신뢰할 수 있는 인증서를 삽입합니다. 신뢰할 수 있는 인증서는 클라이언트에 서버를 신뢰할 것을 지시합니다.

• (선택 사항) /etc/netboot 계층의 클라이언트 keystore 파일에 SSL 개인 키의 내용을 삽입합니다.

wanbootutil 명령은 이전 목록의 작업을 수행할 수 있는 옵션을 제공합니다.

보안 WAN 부트를 수행하지 않으려는 경우 이 절차를 생략합니다. 더 낮은 보안의 설치 준비를 계속하려면 사용자 정의 JumpStart 설치 파일 만들기를 참조하십시오.

신뢰된 인증서와 클라이언트 개인 키를 만들려면 다음과 같이 합니다.

시작하기 전에

PKCS#12 파일을 분할하기 전에 WAN 부트 서버에 /etc/netboot 계층의 적절한 하위 디렉토리를 만듭니다.

• /etc/netboot 계층에 대한 개요는 /etc/netboot 계층에 구성 및 보안 정보 저장을 참조하십시오.

• /etc/netboot 계층을 만드는 방법에 대한 자세한 내용은 WAN 부트 서버에 /etc/netboot 계층 만들기를 참조하십시오.

1. WAN 부트 서버의 웹 서버 사용자와 동일한 사용자 역할을 가정합니다.

2. PKCS#12 파일에서 신뢰할 수 있는 인증서를 추출합니다. 해당 인증서를 /etc/netboot 계층의 클라이언트 truststore 파일에 삽입합니다.

   # wanbootutil p12split -i p12cert \ -t /etc/netboot/net-ip/client-ID/truststore

   p12split

   PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

   -i p12cert

   분할할 PKCS#12 파일의 이름을 지정합니다.

   -t /etc/netboot/net-ip /client-ID/truststore

   클라이언트 truststore 파일에 해당 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

3. (옵션) 클라이언트 인증이 필요한지 여부를 결정합니다.

   • 필요하지 않으면 (선택 사항) 해싱 키 및 암호 키 만들기로 이동합니다.

   • 필요하면 다음 단계를 계속합니다.

     1. 클라이언트의 certstore에 클라이언트 인증서를 삽입합니다.

        # wanbootutil p12split -i p12cert -c \ /etc/netboot/net-ip/client-ID/certstore -k keyfile

        p12split

        PKCS#12 파일을 별도의 개인 키와 인증서 파일로 분할하는 wanbootutil 명령에 대한 옵션입니다.

        -i p12cert

        분할할 PKCS#12 파일의 이름을 지정합니다.

        -c /etc/netboot/net-ip/ client-ID/certstore

        클라이언트의 certstore에 클라이언트 인증서를 삽입합니다. net-ip는 클라이언트 서브넷의 IP 주소입니다. client-ID는 사용자 정의 ID나 DHCP 클라이언트 ID일 수 있습니다.

        -k keyfile

        분할 PKCS#12 파일에서 만들 클라이언트 SSL 개인 키의 이름을 지정합니다.

     2. 클라이언트의 keystore에 개인 키를 삽입합니다.

        # wanbootutil keymgmt -i -k keyfile \ -s /etc/netboot/net-ip/client-ID/keystore -o type=rsa

        keymgmt -i

        SSL 개인 키를 클라이언트의 keystore에 삽입합니다.

        -k keyfile

        이전 단계에서 만든 클라이언트 개인 키의 이름을 지정합니다.

        -s /etc/netboot/net-ip/ client-ID/keystore

        클라이언트 keystore에 대한 경로를 지정합니다.

        -o type=rsa

        키 유형을 RSA로 지정합니다.

예 11–6 서버 인증에 사용할 신뢰할 수 있는 인증서 만들기

다음 예에서 PKCS#12 파일을 사용하여 서브넷 192.168.198.0에 클라이언트 010003BA152A42를 설치합니다. 이 명령 샘플은 이름이 client.p12인 PKCS#12 파일에서 인증서를 추출합니다. 그런 다음 신뢰할 수 있는 인증서의 내용을 클라이언트의 truststore 파일에 넣습니다.

이러한 명령을 실행하기 전에 먼저 웹 서버 사용자와 동일한 사용자 역할을 가정해야 합니다. 이 예에서 웹 서버 사용자 역할은 nobody입니다.

server# su nobody
Password:
nobody# wanbootutil p12split -i client.p12 \
-t /etc/netboot/192.168.198.0/010003BA152A42/truststore
nobody# chmod 600 /etc/netboot/192.168.198.0/010003BA152A42/truststore

WAN 부트 설치 계속

디지털 인증서를 만든 후 해싱 키와 암호 키를 만듭니다. 자세한 내용은 (선택 사항) 해싱 키 및 암호 키 만들기를 참조하십시오.

참조

신뢰할 수 있는 인증서를 만드는 방법에 대한 자세한 내용은wanbootutil(1M) 매뉴얼 페이지를 참조하십시오.